expertenaustausch > linux.debian.user.german

Christian Knoke (13.03.2018, 15:20)
Hallo,

auf einem, etwas länger nicht aktualisierten, stretch-Desktoprechner bekomme
ich folgenden Fehler:

root@leo:~# aptitude update
Holen: 1 stretch/updates InRelease [63,0 kB]
Holen: 2 stretch InRelease [33,4 kB]
Ign stretch InRelease
Holen: 3 stretch-updates InRelease [91,0 kB]
Holen: 4 stretch Release [118 kB]
Feh stretch/updates InRelease
Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 9D6D8F6BC857C906 NO_PUBKEY 8B48AD6246925553
Holen: 5 stretch Release.gpg [2.434 B]
Feh stretch InRelease
Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 5C808C2B65558117
Feh stretch-updates InRelease
Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 8B48AD6246925553 NO_PUBKEY 7638D0442B90D010
Feh stretch Release.gpg
Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 8B48AD6246925553 NO_PUBKEY 7638D0442B90D010 NO_PUBKEY EF0F382A1A7B6500
245 kB wurden in 1 s heruntergeladen (221 kB/s)
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: stretch/updates InRelease: Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 9D6D8F6BC857C906 NO_PUBKEY 8B48AD6246925553
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: stretch InRelease: Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 5C808C2B65558117
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: stretch-updates InRelease: Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 8B48AD6246925553 NO_PUBKEY 7638D0442B90D010
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: stretch Release: Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 8B48AD6246925553 NO_PUBKEY 7638D0442B90D010 NO_PUBKEY EF0F382A1A7B6500
W: Herunterladen von fehlgeschlagen: Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 9D6D8F6BC857C906 NO_PUBKEY 8B48AD6246925553
W: Herunterladen von fehlgeschlagen: Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 8B48AD6246925553 NO_PUBKEY 7638D0442B90D010
W: Herunterladen von fehlgeschlagen: Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 5C808C2B65558117
W: Herunterladen von fehlgeschlagen: Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 8B48AD6246925553 NO_PUBKEY 7638D0442B90D010 NO_PUBKEY EF0F382A1A7B6500
W: Einige Indexdateien konnten nicht heruntergeladen werden. Sie wurden ignoriert oder alte an ihrer Stelle benutzt.

Was ist davon zu halten? Die keyring Pakete sind alle installiert. In der
sources.list gibt es ausser stretch, -security und /updates nur noch dmo.

Gruß
Christian
Gerhard Wolfstieg (13.03.2018, 15:40)
Hallo Christian, hallo zusammen,

die keyring Pakete sind offensichtlich nicht mehr aktuell. Die
Schlüssel haben sich verändert. Die müßten zuerst neu installiert
werden. Danach dürfte Alles reibungslos laufen.

Grüße, Gerhard
Christian Knoke (13.03.2018, 19:00)
Gerhard Wolfstieg schriebst am 13. Mär um 15:32 Uhr:

> die keyring Pakete sind offensichtlich nicht mehr aktuell. Die
> Schlüssel haben sich verändert. Die müßten zuerst neu installiert
> werden. Danach dürfte Alles reibungslos laufen.


~# dpkg --get-selections | grep keyring | cut -f 1 | xargs aptitude versions

sagt mir, das folgende Pakete mit "keyring" im Namen installiert sind:

Paket deb-multimedia-keyring:2016.8.1
Paket debian-archive-keyring:2017.5
Paket debian-keyring: 2017.05.28
Paket debian-ports-archive-keyring:2016.11.28
Paket gnome-keyring:3.20.0-3
Paket leap-archive-keyring:2016.03.08
Paket libgnome-keyring-common:3.12.0-1
Paket libgnome-keyring0:3.12.0-1+b2
Paket libpam-gnome-keyring:3.20.0-3
Paket ubuntu-archive-keyring:2016.05.13-1

Die Versionsnummer (hinter dem ":") sind alle identisch mit den auf dieser
Seite genannten:



Das sieht jetzt so aus als wären sie aktuell.

Ich hatte auch erst an veraltete keyrings gedacht, aber wie kann das sein,
dass ein stable System mit gültigen Schlüsseln plötzlich keine gültigen mehr
hat fürs update?

In

stehen nach erster Durchsicht (auch) dieselben Versionsnummern, zum
Beispiel:

Package: debian-keyring
Version: 2017.05.28
Filename: pool/main/d/debian-keyring/debian-keyring_2017.05.28_all.deb

Die Originalpaketdateien sind auch noch vorhanden, ich könnte sie also binär
vergleichen:

ls -l /var/cache/apt/archives/debian*
-rw-r--r-- 1 root root 33198862 Mai 28 2017 /var/cache/apt/archives/debian-keyring_2017.05.28_all.deb
-rw-r--r-- 1 root root 22914 Nov 28 2016 /var/cache/apt/archives/debian-ports-archive-keyring_2016.11.28_all.deb

Oder?

Gruß
Christian
Sven Hartge (13.03.2018, 19:40)
Christian Knoke <chrisk> wrote:

> Ich hatte auch erst an veraltete keyrings gedacht, aber wie kann das sein,
> dass ein stable System mit gültigen Schlüsseln plötzlich keine gültigen mehr
> hat fürs update?


Das kann auch nicht sein. Die Schlüssel für ein Release werden nicht
mitten im Release-Zyklus getauscht. (Es sei denn etwas wirklich
katastrophales wäre mit dem Signing-Key passiert.).

Das Problem muss woanders liegen.

Zeige doch bitte mal die Ausgabe von folgenden Befehlen (als root
ausgeführt):

apt-key list

ls -al /etc/apt

ls -al /etc/apt/trusted.gpg.d/

Jens-Olaf Lindermann (13.03.2018, 20:40)
Am 13.03.2018 um 19:40 schrieb Sven Hartge:
> Christian Knoke <chrisk> wrote:


Hier gabs mal ein ähnliches Problem:

<https://elkano.org/blog/debian-8-jessie-signatures-verified-public-key/>

s.auch

<http://ccm.net/faq/809-debian-apt-get-no-pubkey-gpg-error>

sal pl
Jens
Christian Knoke (13.03.2018, 20:50)
Hallo,

Sven Hartge schrieb am 13. Mär um 19:32 Uhr:
> Christian Knoke <chrisk> wrote:
> Das kann auch nicht sein. Die Schlüssel für ein Release werden nicht
> mitten im Release-Zyklus getauscht. (Es sei denn etwas wirklich
> katastrophales wäre mit dem Signing-Key passiert.).
> Das Problem muss woanders liegen.


danke.

> Zeige doch bitte mal die Ausgabe von folgenden Befehlen (als root
> ausgeführt):
> apt-key list


~# apt-key list
/etc/apt/trusted.gpg.d/debian-archive-jessie-automatic.gpg
----------------------------------------------------------
pub rsa4096 2014-11-21 [SC] [expires: 2022-11-19]
126C 0D24 BD8A 2942 CC7D F8AC 7638 D044 2B90 D010
uid [ unknown] Debian Archive Automatic Signing Key (8/jessie) <ftpmaster>

/etc/apt/trusted.gpg.d/debian-archive-jessie-security-automatic.gpg
-------------------------------------------------------------------
pub rsa4096 2014-11-21 [SC] [expires: 2022-11-19]
D211 6914 1CEC D440 F2EB 8DDA 9D6D 8F6B C857 C906
uid [ unknown] Debian Security Archive Automatic Signing Key (8/jessie) <ftpmaster>

/etc/apt/trusted.gpg.d/debian-archive-jessie-stable.gpg
-------------------------------------------------------
pub rsa4096 2013-08-17 [SC] [expires: 2021-08-15]
75DD C3C4 A499 F1A1 8CB5 F3C8 CBF8 D6FD 518E 17E1
uid [ unknown] Jessie Stable Release Key <debian-release>

/etc/apt/trusted.gpg.d/debian-archive-stretch-automatic.gpg
-----------------------------------------------------------
pub rsa4096 2017-05-22 [SC] [expires: 2025-05-20]
E1CF 20DD FFE4 B89E 8026 58F1 E0B1 1894 F66A EC98
uid [ unknown] Debian Archive Automatic Signing Key (9/stretch) <ftpmaster>
sub rsa4096 2017-05-22 [S] [expires: 2025-05-20]

/etc/apt/trusted.gpg.d/debian-archive-stretch-security-automatic.gpg
--------------------------------------------------------------------
pub rsa4096 2017-05-22 [SC] [expires: 2025-05-20]
6ED6 F5CB 5FA6 FB2F 460A E88E EDA0 D238 8AE2 2BA9
uid [ unknown] Debian Security Archive Automatic Signing Key (9/stretch) <ftpmaster>
sub rsa4096 2017-05-22 [S] [expires: 2025-05-20]

/etc/apt/trusted.gpg.d/debian-archive-stretch-stable.gpg
--------------------------------------------------------
pub rsa4096 2017-05-20 [SC] [expires: 2025-05-18]
067E 3C45 6BAE 240A CEE8 8F6F EF0F 382A 1A7B 6500
uid [ unknown] Debian Stable Release Key (9/stretch) <debian-release>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-automatic.gpg
----------------------------------------------------------
pub rsa4096 2012-04-27 [SC] [expires: 2020-04-25]
A1BD 8E9D 78F7 FE5C 3E65 D8AF 8B48 AD62 4692 5553
uid [ unknown] Debian Archive Automatic Signing Key (7.0/wheezy) <ftpmaster>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-stable.gpg
-------------------------------------------------------
pub rsa4096 2012-05-08 [SC] [expires: 2019-05-07]
ED6D 6527 1AAC F0FF 15D1 2303 6FB2 A1C2 65FF B764
uid [ unknown] Wheezy Stable Release Key <debian-release>

/etc/apt/trusted.gpg.d/debian-ports-archive-2016.gpg
----------------------------------------------------
pub rsa4096 2016-01-24 [SC] [expired: 2017-02-01]
69DD B056 0EA8 6E87 E835 99B3 B4C8 6482 705A 2CE1
uid [ expired] Debian Ports Archive Automatic Signing Key (2016) <ftpmaster>

/etc/apt/trusted.gpg.d/debian-ports-archive-2017.gpg
----------------------------------------------------
pub rsa4096 2016-11-28 [SC] [expired: 2018-02-01]
4B7B D4FC D488 B9E5 6CA5 7573 8BC3 A7D4 6F93 0576
uid [ expired] Debian Ports Archive Automatic Signing Key (2017) <ftpmaster>

/etc/apt/trusted.gpg.d/deb-multimedia-keyring.gpg
-------------------------------------------------
pub rsa4096 2014-03-05 [SC]
A401 FF99 368F A1F9 8152 DE75 5C80 8C2B 6555 8117
uid [ unknown] Christian Marillat <marillat>
uid [ unknown] Christian Marillat <marillat>
uid [ unknown] Christian Marillat <marillat>
sub rsa4096 2014-03-05 [E]

/etc/apt/trusted.gpg.d/leap-archive.gpg
---------------------------------------
pub rsa4096 2013-02-06 [SC] [expired: 2018-03-08]
1E45 3B2C E87B EE2F 7DFE 9966 1E34 A182 8E20 7901
uid [ expired] LEAP archive signing key <sysdev>

/etc/apt/trusted.gpg.d/leap-experimental-archive.gpg
----------------------------------------------------
pub rsa4096 2014-11-11 [SC] [expired: 2018-03-08]
CE43 3F40 7BAB 443A FEA1 96C1 837C 1AD5 3674 29D9
uid [ expired] LEAP experimental archive signing key <sysdev>

/etc/apt/trusted.gpg.d/ubuntu-archive-keyring.gpg
-------------------------------------------------
pub dsa1024 2004-09-12 [SC]
6302 39CC 130E 1A7F D81A 27B1 4097 6EAF 437D 05B5
uid [ unknown] Ubuntu Archive Automatic Signing Key <ftpmaster>
sub elg2048 2004-09-12 [E]

pub dsa1024 2004-12-30 [SC]
C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451
uid [ unknown] Ubuntu CD Image Automatic Signing Key <cdimage>

pub rsa4096 2012-05-11 [SC]
790B C727 7767 219C 42C8 6F93 3B4F E6AC C0B2 1F32
uid [ unknown] Ubuntu Archive Automatic Signing Key (2012) <ftpmaster>

pub rsa4096 2012-05-11 [SC]
8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
uid [ unknown] Ubuntu CD Image Automatic Signing Key (2012) <cdimage>

> ls -al /etc/apt


~# ls -al /etc/apt
insgesamt 56
drwxr-xr-x 7 root root 4096 Dez 27 22:03 .
drwxr-xr-x 133 root root 12288 Mär 13 15:01 ..
drwxr-xr-x 2 root root 4096 Dez 24 13:34 apt.conf.d
drwxr-xr-x 2 root root 4096 Dez 14 17:13 listbugs
-rw-r--r-- 1 root root 104 Dez 11 13:34 listchanges.conf
drwxr-xr-x 2 root root 4096 Jul 13 2017 preferences.d
-rw-r--r-- 1 root root 559 Dez 24 20:07 sources.list
-rw-r--r-- 1 root root 500 Dez 20 10:07 sources.list~
drwxr-xr-x 2 root root 4096 Jul 13 2017 sources.list.d
-rw-r--r-- 1 root root 1200 Dez 27 22:03 trustdb.gpg
-rw-r--r-- 1 root root 32 Dez 27 22:03 trusted.gpg
drwxr-xr-x 2 root root 4096 Feb 20 21:08 trusted.gpg.d

> ls -al /etc/apt/trusted.gpg.d/


~# ls -al /etc/apt/trusted.gpg.d/
insgesamt 96
drwxr-xr-x 2 root root 4096 Feb 20 21:08 .
drwxr-xr-x 7 root root 4096 Dez 27 22:03 ..
-rw-r--r-- 1 root root 5138 Mai 25 2017 debian-archive-jessie-automatic.gpg
-rw-r--r-- 1 root root 5147 Mai 25 2017 debian-archive-jessie-security-automatic.gpg
-rw-r--r-- 1 root root 2775 Mai 25 2017 debian-archive-jessie-stable.gpg
-rw-r--r-- 1 root root 7483 Mai 25 2017 debian-archive-stretch-automatic.gpg
-rw-r--r-- 1 root root 7492 Mai 25 2017 debian-archive-stretch-security-automatic.gpg
-rw-r--r-- 1 root root 2275 Mai 25 2017 debian-archive-stretch-stable.gpg
-rw-r--r-- 1 root root 3780 Mai 25 2017 debian-archive-wheezy-automatic.gpg
-rw-r--r-- 1 root root 2851 Mai 25 2017 debian-archive-wheezy-stable.gpg
-rw-r--r-- 1 root root 1735 Nov 28 2016 debian-ports-archive-2016.gpg
-rw-r--r-- 1 root root 1766 Nov 28 2016 debian-ports-archive-2017.gpg
-rw-r--r-- 1 root root 7607 Dez 10 2014 deb-multimedia-keyring.gpg
-rw-r--r-- 1 root root 20188 Mär 3 2016 leap-archive.gpg
-rw-r--r-- 1 root root 3423 Mär 3 2016 leap-experimental-archive.gpg
lrwxrwxrwx 1 root root 46 Feb 20 21:08 ubuntu-archive-keyring.gpg -> /usr/share/keyrings/ubuntu-archive-keyring.gpg
lrwxrwxrwx 1 root root 51 Feb 20 21:08 ubuntu-archive-removed-keys.gpg -> /usr/share/keyrings/ubuntu-archive-removed-keys.gpg

> Sigmentation fault. Core dumped.


Gruß
Christian
Christian Knoke (13.03.2018, 22:10)
Jens-Olaf Lindermann schrieb am 13. Mär um 20:18 Uhr:
> Am 13.03.2018 um 19:40 schrieb Sven Hartge:
> > Christian Knoke <chrisk> wrote:

> Hier gabs mal ein ähnliches Problem:
> <https://elkano.org/blog/debian-8-jessie-signatures-verified-public-key/>
> s.auch
> <http://ccm.net/faq/809-debian-apt-get-no-pubkey-gpg-error>


~# wget -O - | apt-key add -

führt zu

gpg: keydb_get_keyblock failed: Wert nicht gefunden

~# apt-get reinstall debian-keyring debian-archive-keyring

läuft, ändert aber nichts.

~# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 8B48AD6246925553
Executing: /tmp/apt-key-gpghome.fiRzYyuVKT/gpg.1.sh --keyserver keyserver.ubuntu.com --recv-keys 8B48AD6246925553
gpg: keydb_get_keyblock failed: Wert nicht gefunden
gpg: keydb_search failed: Das Argument ist ungültig
gpg: key 8B48AD6246925553: public key "[User ID not found]" imported
gpg: Total number processed: 1
gpg: imported: 1

wieder der gpg Fehler.

Gruß
Christian
Sven Hartge (13.03.2018, 23:20)
Christian Knoke <chrisk> wrote:
> Sven Hartge schrieb am 13. Mär um 19:32 Uhr:
>> Christian Knoke <chrisk> wrote:


>> Das kann auch nicht sein. Die Schlüssel für ein Release werden nicht
>> mitten im Release-Zyklus getauscht. (Es sei denn etwas wirklich
>> katastrophales wäre mit dem Signing-Key passiert.).
>> Das Problem muss woanders liegen.


>> Zeige doch bitte mal die Ausgabe von folgenden Befehlen (als root
>> ausgeführt):
>> apt-key list


[..]
> uid [ unknown] Ubuntu CD Image Automatic Signing Key <cdimage>
> uid [ unknown] Ubuntu Archive Automatic Signing Key (2012) <ftpmaster>
> uid [ unknown] Ubuntu CD Image Automatic Signing Key (2012) <cdimage>


Wow, was für ein Chaos.

>> ls -al /etc/apt


[..]
> -rw-r--r-- 1 root root 1200 Dez 27 22:03 trustdb.gpg
> -rw-r--r-- 1 root root 32 Dez 27 22:03 trusted.gpg
> drwxr-xr-x 2 root root 4096 Feb 20 21:08 trusted.gpg.d


Immerhin die Berechtigungen sind OK.

Aber die Menge an Schlüsseln und noch dazu die GnuPG-Fehlermeldungen,
die du erhälst, sagen mir, dass du vermutlich eine unheilige Mischung
aus Debian und Ubuntu gemacht hast und dabei jetzt irgendetwas in die
Grütze gegangen ist.

Normal oder auch nur zu erwarten ist der Systemverhalten, welches du
siehst, jedenfalls auf keinen Fall.



Zeige doch bitte mal deine /etc/apt/sources.list und den Inhalt der
Dateien unter /etc/apt/sources.list.d/

Christian Knoke (14.03.2018, 11:50)
Sven Hartge schrieb am 13. Mär um 23:18 Uhr:
> Christian Knoke <chrisk> wrote:


> > ~# ls -al /etc/apt


> Immerhin die Berechtigungen sind OK.
> Aber die Menge an Schlüsseln und noch dazu die GnuPG-Fehlermeldungen,
> die du erhälst, sagen mir, dass du vermutlich eine unheilige Mischung
> aus Debian und Ubuntu gemacht hast und dabei jetzt irgendetwas in die
> Grütze gegangen ist.


Nix Ubuntu, nur Stretch und ein bisschen dmo.

Kann es sein, dass die Schlüsseldatenbank nicht richtig arbeitet?

> Normal oder auch nur zu erwarten ist der Systemverhalten, welches du
> siehst, jedenfalls auf keinen Fall.


das beruhigt mich etwas ;-)

>


Ich will nicht ausschließen, das ich etwas kaputt gemacht habe. Ich habe
versucht, einiges zu deinstallieren, was ich nicht haben wollte, und ein
paar systemd Dienste deaktiviert, die ich für überflüssig hielt . . .

An 'recommends' dürfte einiges fehlen. Beim letzten funktionierenden Update
gab es aber keine unaufgelösten Abhängigkeiten.

> Zeige doch bitte mal deine /etc/apt/sources.list und den Inhalt der
> Dateien unter /etc/apt/sources.list.d/


Gern.

deb stretch main contrib non-free
deb stretch/updates main contrib non-free
deb stretch-updates main contrib non-free
deb stretch main non-free

root@leo:/etc/apt# ls sources.list.d/
root@leo:/etc/apt#

> S°


Gruß
Christian
Uwe Kerstan (14.03.2018, 17:40)
* Sven Hartge [13-03-2018 23:18]:

> Zeige doch bitte mal deine /etc/apt/sources.list und den Inhalt der
> Dateien unter /etc/apt/sources.list.d/


Man könnte auch etwas mehr Output zur Fehlersuche generieren z.B.

$ strace apt-key --debug2 --keyring /tmp/keyring adv --keyserver \
keyserver.ubuntu.com --debug-level 10 --recv-keys 8B48AD6246925553

Experten könnten damit bestimmt etwas anfangen.
Christian Knoke (14.03.2018, 23:00)
Hallo,

Uwe Kerstan schriebst am 14. Mär um 17:37 Uhr:
> * Sven Hartge [13-03-2018 23:18]:
> Man könnte auch etwas mehr Output zur Fehlersuche generieren z.B.
> $ strace apt-key --debug2 --keyring /tmp/keyring adv --keyserver \
> keyserver.ubuntu.com --debug-level 10 --recv-keys 8B48AD6246925553
> Experten könnten damit bestimmt etwas anfangen.


Dann man los:



> Gruß Uwe


Gruß
Christian
Ähnliche Themen